Gregory's Server|
13 comments
 @shuro @rf @predicterOfShroomsLight от кого \ чего поднимают фаерволл если дефолтная система не шумит ? Не выкупаю радости дополнительной возни после каждой установки сервиса  @rf @predicterOfShroomsLight @kurator88 Чтобы не пополнять ряды выставивших эластик в публичную сеть. Всё предусмотреть сложно, а так наглядно видно. Некоторые сервисы вообще в паблик лучше не выставлять, например, за открытый наружу DNS мне Роскомнадзор прописал теневой бан. @rf @predicterOfShroomsLight @kurator88 В реестре ничего нет, а на провайдерах с ТСПУ (все мобильные и крупняк) соединения тихо дропаются. Даже не резет или пересылка на блекхол, а именно тайм-аут, как будто у тебя сервис не отвечает.
@rf @predicterOfShroomsLight @kurator88 > на весь домен или именно на dns ? Если это про РКН, то бан по IP по всем протоколам. ICMP, TCP, UDP - любые порты. Но именно по IP, позже я с него съехал и то же доменное имя работает без проблем.  @kurator88 @shuro @predicterOfShroomsLight
От всяких сканеров портов и подборщиков паролей. Стоит только поднять ВПС, а через пару часов уже будут кучи ботов стучаться со стандартными именами пользователей и паролями @yura @shuro @predicterOfShroomsLight давай еще раз. Поднял ssh - открыл порт ssh и его все равно будут стучать. @yura @predicterOfShroomsLight @kurator88 Поднял кэширующий DNS для использования внутри VPN-сети - открылся порт наружу, далее см. выше. Поднял некую-полезную-приблуду - она подняла админский интерфейс на порту 3020, часто без пароля, ты можешь про него и не знать даже. И т.п. Конечно, умолчания у нормального ПО обычно от такого страхуют, но :) @kurator88 @shuro @predicterOfShroomsLight
Да, можно. Только тут немного не так. Пустой сервис - все порты закрыты, не достучится ни враг, ни друг. Поднял ssh (если впс, то он так поднят из коробки) - очень быстро начнут стучать все кто угодно. @yura @shuro @predicterOfShroomsLight про failban я ничего плохого не говорил :) Короче фаервол как sudo. Мне привычнее все делать в su чем каждый раз печатать sudo. Так и с фаерволом - я знаю кто и в какой момент открывает порт.  @shuro @predicterOfShroomsLight @rf Если хочется настоящей безопасности то и порт 22 тоже надо закрыть.
Сервер будет в безопасности если никто не сможет к нему подключится |
@rf @predicterOfShroomsLight Общие принципы там довольно простые: первым делом сменить пароль на рута символов на 20, вторым поставить fail2ban, третьим включить файрвол и закрыть всё, кроме 22-го порта (если ssh на стандартном) и открывать дальше только под конкретные сервисы.
Остальное по вкусу. Рекомендуется вход по ключу, можно отключить вход по паролю (но лично я смысла вижу мало). В принципе, можно и fail2ban не ставить, поставить пароль ещё длиннее и/или сменить порт ssh.
А вот потом уже что-то настраивать, только иметь в виду, что сами сервисы тоже бывают дырявые :)
@rf @predicterOfShroomsLight Общие принципы там довольно простые: первым делом сменить пароль на рута символов на 20, вторым поставить fail2ban, третьим включить файрвол и закрыть всё, кроме 22-го порта (если ssh на стандартном) и открывать дальше только под конкретные сервисы.
Остальное по вкусу. Рекомендуется вход по ключу, можно отключить вход по паролю (но лично я смысла вижу мало). В принципе, можно и fail2ban не ставить, поставить пароль ещё длиннее и/или сменить порт ssh.